不正アクセスしたら当然アウトだが、改正後はアクセスに成功する前段階でもアウトだよ
実害が出る前に適用しようとするケースが少ないだけで

第四条 他人の識別符号を不正に取得する行為の禁止
第五条 不正アクセス行為を助長する行為の禁止
第六条 他人の識別符号を不正に保管する行為の禁止
第七条 識別符号の入力を不正に要求する行為の禁止

メールアドレスは「ID」として使われている事が多いから公開情報に思われがちだが
これも個人の「識別符号」として使われているのだから、パスが間違っていても本人以外が
本人の同意なく識別記号を必要とする場所で不正に入力しようとしたならアウトだね

当然そのための情報を補完、提供することもアウトだからブラウザのアクセス履歴や
ダウンロード履歴から追われるとアウトだし、塩餡内で情報回していたらもちろんアウト

なお、上記の不正アクセスの結果、パスワード変更メールが本人に送られること自体は
追加の犯罪になるかは微妙だけど、仮に事前にキーロガー等を仕込んで(仕込もうとして)
おいてパス変更させることがパスワード入手手段となりえる場合は追加のアウトだろうね